eventlog& 2013% · eventlog&2013% 2!! laadministracióndelogdeeventos %% events: es obtener...
TRANSCRIPT
Event Log 2013
1
Tabla de Contenido 1. La administración de log de eventos ....................................................................................... 1
2. Uso significativo de Event Logs ................................................................................................ 3
• Identificar los problemas y las soluciones ......................................................................... 3
3. Event Viewer ............................................................................................................................... 4 • Tipos de registros de eventos ............................................................................................ 4
• Cómo ver los detalles de un evento ..................................................................................................... 5
• Cómo interpretar un evento ............................................................................................................ 7
• Encabezado del evento ....................................................................................................................... 7
• Tipos de eventos ...................................................................................................................................... 7
• Cómo buscar eventos en un registro ................................................................................ 8
• Cómo buscar un evento determinado en un registro ............................................................ 8
• Cómo filtrar eventos de un registro .............................................................................................. 9
• Cómo administrar el contenido de un registro ................................................... 12
• Cómo configurar el tamaño del registro y las opciones de sobrescritura .................. 12
• Cómo archivar un registro .............................................................................................................. 12
4. Referencias .............................................................................................................................. 14
Event Log 2013
2
La administración de log de eventos Events: es obtener la lista de controladores de eventos asociados a Componente.
Log: Obtiene o establece el nombre del registro del que se lee o en el que se escribe.
Event Logs es una aplicación para ver, supervisar, monitorear y analizar los eventos almacenados en los registros de seguridad, sistemas y aplicaciones.
Se usa de estrategia para la monitorización de registros de eventos de incidentes (como seguridad) y el análisis periódico de los registros. Esto le permite detectar actividades. En seguridad monitorear las políticas pertinentes a la seguridad, los mecanismos (por ejemplo, la autenticación, autorización, etc.), actividad (por ejemplo, la actividad de los usuarios privilegiados) y las aplicaciones (por ejemplo, IDS, IPS, firewall, etc.).
Los logs de eventos permiten a los administradores que revisen el historial reciente de un servidor o de un dispositivo de red y observar tendencias, fallas, sucesos y otra información crítica para la organización. En tiempo real pueden brindan indicadores de infecciones por troyanos y malware en equipos y redes. Los logs de eventos también almacenan pruebas potencialmente valiosas para el análisis forense. Tras un incidente de seguridad en la red, los logs de eventos almacenan toda la información sobre dicho incidente: como sucedió, cuando, y en último caso, las claves para prevenir que vuelva a ocurrir. Dado que puede brindar tanto una defensa de primera línea, como los elementos necesarios para un análisis forense, el log de eventos es un componente clave de la seguridad de red en la actualidad. Muchas organizaciones
Event Log 2013
3
no tienen más elección que implementar una estrategia de administración de logs ya que el cumplimiento de normas y regulaciones como HIPAA dependen de ello.
2. Uso significativo de Event Log El Event Log es el ‘’todo ‘’ para monitorear o detectar alguna información requerida.
También es utilizado en este ejemplo, proporciona acceso a los registros de eventos del sistema operativo. Puede agregar y eliminar registros, agregar y quitar orígenes del registro de eventos, escribir y eliminar mensajes.
La administración de log de eventos, es decir, el monitoreo, la recopilación, la consolidación y el análisis de archivos de log, se ha convertido en una carga necesaria y creciente para los profesionales de seguridad de redes y administradores de IT. Tener varios servidores con diferentes sistemas operativos y varios tipos de logs en cada equipo genera una gran cantidad de datos de archivos de log. Cuando se agregan routers, firewalls y otros dispositivos como concentradores de VPN, crece el volumen de datos que debe ser de fácil acceso. De hecho, un único registro de eventos en un servidor con Microsoft Windows es capaz de generar alrededor de 1 GB de datos de log en apenas 24 horas. Multipliquemos este número por la cantidad de servidores en una organización, y a continuación, por la cantidad de tiempo que deben almacenarse los archivos de log: la tarea de mantenimiento de eventos se vuelve inmanejable. Agreguemos a esta ecuación firewalls, redes VPN, routers, aplicaciones en base web, el nuevo formato de log EVTX: en teoría, el sistema parece desequilibrado, al punto de fallar.
Identificar los problemas y las soluciones El poder monitorear los logs de eventos les da a los administradores una ventaja considerable
para la identificación temprana de amenazas, algo que es mejor que investigar los hechos cuando suceden. Una estrategia sólida de registro de eventos es la clave para tener un panorama completo del plan de seguridad de red en cualquier organización. La presencia de monitoreo de eventos en la estrategia de logs ayuda a distinguir un plan proactivo de uno reactivo. Los profesionales de seguridad de red consideran que las amenazas más serias a la seguridad de la red son internas y por lo general se originan en el mismo edificio, incluso en el mismo piso o al otro lado del pasillo. La causa puede ser un empleado molesto, un empleado de liquidación de sueldos curioso o un representante de ventas aburrido. Cuando es externo, probablemente se trate también de los mismos gusanos o virus que atacan una pc hogareña. No nos equivoquemos, los equipos de hardware que combaten las amenazas de malware siguen siendo de ayuda. Sin embargo, un software de administración de logs de eventos más sencillo y económico puede ser tan o incluso más efectivo para defender la red. De hecho, una estrategia de administración de eventos es más efectiva para combatir ataques internos. Rastrear los ingresos equivocados de contraseña, los accesos a archivos y carpetas, y comparar los inicios y cierres de sesión exitosos contra los fallidos, todas estas funciones pueden manejarse con facilidad mediante una estrategia de mantenimiento de logs integral. Pero muchos no ven que tan efectiva puede ser la administración de eventos cuando se administran los ataques externos de alto perfil.
Por lo tanto, contar con una capacidad de monitoreo de logs que pueda discernir es esencial. La automatización del monitoreo de eventos (que fija los parámetros de los eventos relevantes) permite a los administradores actuar con rapidez, y, lo que es más importante, temprano. En el ambiente actual de
Event Log 2013
4
“malware del mes”, la capacidad de poder distinguir y diferenciar automáticamente a través de los eventos en tiempo real puede determinar que redes sobrevivirán
3. Event Viewer
En Windows, un evento es cualquier evento significativo del sistema o de un programa que requiere que se notifique a los usuarios o que se agregue una entrada a un registro. El servicio Registro de eventos graba eventos de aplicación, de seguridad y de sistema en el Visor de eventos. Con los registros de eventos del Visor de eventos puede obtener información acerca de los componentes de hardware, software y sistema, y supervisar los eventos de seguridad de un equipo local o remoto. Los registros de eventos pueden ayudar a identificar y diagnosticar el origen de los problemas actuales del sistema o a predecir posibles problemas del sistema.
Figure 1. Hacemos la búsqueda en Windows del Event Viewer
Tipos de registros de eventos Un equipo con Windows XP graba los eventos en los tres registros siguientes:
Event Log 2013
5
• Registro de aplicación El registro de aplicación contiene eventos registrados por los programas. Por ejemplo, un programa de base de datos puede grabar un error de archivo en el registro de aplicación. Los desarrolladores del programa de software determinan los eventos que se escriben en el registro de aplicación.
• Registro de seguridad El registro de seguridad graba eventos como intentos válidos y no válidos de inicio de sesión, así como eventos relacionados con el uso de recursos como crear, abrir o eliminar archivos. Por ejemplo, cuando la auditoría del inicio de sesión está habilitada, se graba un evento en el registro de seguridad cada vez que un usuario intenta iniciar sesión en el equipo. Debe haber iniciado sesión como Administrador o como miembro del grupo Administradores para poder activar, utilizar y especificar qué eventos se grabarán en el registro de seguridad.
• Registro del sistema El registro del sistema contiene eventos grabados por los componentes del sistema de Windows. Por ejemplo, si un controlador no se carga durante el inicio, se grabará un evento en el registro del sistema. Windows determina previamente los eventos registrados por los componentes del sistema.
Cómo ver los detalles de un evento
Para ver los detalles de un evento, siga estos pasos:
1. Haga clic en Start y, después, haga clic en Control Panel. Haga clic en Administrative Tools y en View Event Logs
Event Log 2013
6
2. En el árbol de consola, expanda Event Viewer y haga clic en el registro que contiene el evento que desea ver.
3. En el panel de Application, haga doble clic en el evento que desea ver.
Event Log 2013
7
Aparecerá el cuadro de diálogo General, que contiene información de encabezado y una descripción del evento.
Cómo interpretar un evento
Todas las entradas de los registros están clasificadas por tipo, y contienen información de encabezado y una descripción del evento.
Encabezado del evento El encabezado contiene la siguiente información sobre el evento:
Fecha en que se produjo el evento
Event Log 2013
8
Tipos de eventos La descripción de cada evento registrado depende del tipo de evento. Todos los eventos de un registro pueden clasificarse en uno de los tipos siguientes:
• Información Evento que describe el funcionamiento correcto de una tarea, como una aplicación, un controlador o un servicio. Por ejemplo, un evento Información se registra cuando se carga correctamente un controlador de red.
• Advertencia Evento que no es necesariamente significativo; sin embargo, puede indicar la posible existencia de un problema futuro. Por ejemplo, un mensaje Advertencia se registra cuando empieza a quedar poco espacio de disco.
• Error Evento que describe un problema importante, como el error de una tarea crítica. Los eventos de error pueden implicar pérdida de datos o de funcionalidad. Por ejemplo, un evento Error se registra si no se carga un servicio durante el inicio.
• Auditoría de aciertos (registro de seguridad) Evento que describe la correcta finalización de un evento de seguridad auditado. Por ejemplo, un evento Auditoría de aciertos se registra cuando un usuario inicia sesión en el equipo.
Origen del evento. Puede ser el nombre de un programa, un componente del sistema o un componente individual de un programa grande
Número que identifica el tipo de evento. Los representantes de servicio técnico puede utilizar el Id. de evento para comprender mejor lo que ocurrió en el sistema.
Nivel evento. Puede ser uno de los cinco tipos siguientes: Error, Advertencia, Información, Auditoría de aciertos o Auditoría de errores.
Event Log 2013
9
• Auditoría de errores (registro de seguridad) Evento que describe un evento de seguridad auditado que no se completó correctamente. Por ejemplo, se puede registrar un evento Auditoría de errores cuando un usuario no puede tener acceso a una unidad de red.
Cómo buscar eventos en un registro
La vista predeterminada de los registros de eventos es mostrar todas sus entradas. Si desea buscar un evento determinado, o ver un subconjunto de eventos, puede buscar en el registro o puede aplicar un filtro a los datos del registro.
Cómo buscar un evento determinado en un registro Para buscar un evento determinado de un registro, siga estos pasos:
1. Haga clic en Start y, después, haga clic en Control Panel. Haga clic en Administrative Tools y en View Event Logs
2. En el árbol de consola, expanda Event Viewer y haga clic en el registro que contiene el evento que desea ver.
3. En el menú Ver, haga clic en Buscar. 4. Especifique las opciones para el evento que desea ver en el cuadro de diálogo Buscar y haga clic
en Buscar siguiente.
El evento que cumpla los criterios de búsqueda estará resaltado en el panel de detalles. Haga clic en Buscar siguiente para encontrar la siguiente aparición de un evento, según definen los criterios de búsqueda.
Event Log 2013
10
Cómo filtrar eventos de un registro
En Event Viewer Expandimos “Windows Logs” sección:
A partir de los registros de seleccionar el tipo de registro en particular que desea filtrar, para este ejemplo vamos a utilizar el registro de seguridad. A continuación, haga clic en el tipo de registro que desea filtrar:
Event Log 2013
11
Para filtrar eventos basándose en la fecha en que ocurrieron, seleccione el período de tiempo de la lista desplegable Usuario. Nota: También puede elegir Rango personalizado y especifique la primera fecha y hora desde la que desea que los eventos y la última fecha y la hora de la que desea eventos.
A continuación, seleccione las casillas de verificación junto a los niveles de evento que desea que el filtro que se vea. Para este ejemplo vamos a utilizar
Event Log 2013
12
Seleccione las casillas de verificación junto a las fuentes de eventos que desea que su filtro para mostrar en la lista desplegable Origen del evento
En Id. de sucesos, escriba los identificadores de evento que desea que su filtro para mostrar, por ejemplo, escriba 6005.
Event Log 2013
13
Nota: Si desea filtrar en función de múltiples identificadores de eventos independientes, puede entrar en ellos separados por comas. Si desea incluir un rango de IDs, por ejemplo a través de 10000 10010, puede escribir 10000-‐10010. Si desea que el filtro para mostrar los eventos con todos los identificadores, excepto algunos que, escriba los identificadores de esas excepciones, precedidos por un signo menos. Por ejemplo, para incluir a todos los identificadores de sucesos entre 4624 y 4634 a excepción de 4630, el tipo de 4.624-‐4.634, -‐4630. En Categoría de la tarea, seleccione las casillas de verificación junto a las categorías de tareas en la lista desplegable que desea que el filtro que se vea. En usuario, escriba el nombre de las cuentas de usuario que desea el filtro que se vea. Para entrar en varias cuentas de usuario, separarlos con una coma (,). En la computadora (s), escriba el nombre de los equipos que desea que el filtro que se vea. Este campo se refiere al equipo de origen del evento. Puede escribir varias computadoras separándolas con una coma (,). Haga clic en Aceptar para aplicar el filtro.
Cómo administrar el contenido de un registro
De manera predeterminada, el tamaño máximo inicial de un registro es 512 KB y cuando se llega a este tamaño, los eventos nuevos sobrescriben los antiguos. Dependiendo de sus requisitos, puede cambiar estos valores o vaciar el contenido de un registro.
Cómo configurar el tamaño del registro y las opciones de sobrescritura Para especificar el tamaño del registro y las opciones de sobrescritura, siga estos pasos:
1. Haga clic en Start y, después, haga clic en Control Panel. Haga clic en Administractive Tools y en View Event Logs
2. En el árbol de consola, expanda Event Viewer y haga clic con el botón secundario en el registro para el que desee establecer el tamaño y las opciones de sobrescritura.
3. En Tamaño del registro, escriba el tamaño que desee en el cuadro Máximo tamaño de registro. 4. En Cuando se alcance el tamaño máximo del registro, haga clic en la opción de sobrescritura
que desee. 5. Si desea borrar el contenido del registro, haga clic en Vaciar registro. 6. Haga clic en Aceptar.
Cómo archivar un registro Si desea guardar datos del registro, puede archivar los registros de eventos en cualquiera de los formatos siguientes:
• Formato de archivo de registro (.evt) • Formato de archivo de texto (.txt) • Formato de archivo de texto delimitado por comas (.csv)
Para archivar un registro, siga estos pasos:
Event Log 2013
14
1. Haga clic en Start y, después, haga clic en Control Panel. Haga clic en Administrative Tools y en View Event Logs
2. En el árbol de consola, expanda Visor de eventos, haga clic con el botón secundario en el registro que desee archivar y, a continuación, haga clic en Guardar archivo de registro como.
3. Especifique un nombre de archivo y una ubicación donde desea guardar el archivo. En el cuadro Guardar como tipo, haga clic en el formato que desee y, después, haga clic en Guardar.
El archivo de registro se guardará en el formato especificado.
Event Log 2013
15
4. Referencias
• Para obtener más información acerca de un evento o un error concreto, visite el siguiente sitio web de Microsoft: http://www.microsoft.com/technet/support/ee/ee_advanced.aspx
• Para obtener información adicional acerca de cómo utilizar el Visor de eventos.
http://support.microsoft.com/kb/308427/es
• Creating Custom Views In Event Viewer
http://www.serverintellect.com/support/windowsserver/custom-‐views-‐event-‐viewer/